• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

F1000系列V7防火墙跨三层组网下本地portal本地认证配置经验案例

2018-09-11 发表
  • 0关注
  • 2收藏,711浏览
徐猛 五段
粉丝:6人 关注:1人

组网及说明

       现场使用我司的一台F1000系列防火墙作为网络出口设备。设备上的GigabitEthernet 1/0/1作为内网连接接口,GigabitEthernet 1/0/2作为外网出口。内网中存在有线用户和无线用户,其中有线用户和无线用户的网关都在内网核心交换机上,终端到防火墙内网口之间跨了三层网络。 现场之前仅仅只对无线用户配置了portal认证,无线用户的portal认证点配置在了无线控制器上,之前使用正常。现在现场客户提出了需要对有线用户也做portal认证的需求。如下为现场拓扑,其中2口ip地址为:192.168.1.1。  

  

配置步骤

1.   配置步骤

1)   上网基本配置(省略)


2)   创建portal web服务器,配置portal服务器的url地址为http://192.168.1.1:3000/portal

<H3C>system-view

[H3C]portal web-server h3c   //创建portal web服务器名称为h3c

[H3C-portal-websvr-h3c]url http://192.168.1.1:3000/portal   //配置portal认证重定向的url地址

[H3C-portal-websvr-h3c]quit


3)   开启IPV4 portal认证,指定为本地认证(需要在三层接口下启用)

[H3C]interface GigabitEthernet 0/2 

[H3C-GigabitEthernet0/2]portal enable method layer3  //使能portal认证方式为跨三层portal认证

[H3C-GigabitEthernet0/2]portal apply web-server h3c  //引用之前创建的portal web服务器h3c

[H3C-GigabitEthernet0/2]quit


4)   创建本地portal web 服务器使用http协议交互认证信息

[H3C]portal local-web-server http

[H3C-portal-local-websvr-http]tcp-port 3000  //配置本地Portal Web服务器的HTTP服务侦听的TCP端口号为3000(注意要与前面配置的url地址对应上)

[H3C-portal-local-websvr-http]default-logon-page 123.zip  //配置本地Portal Web服务器提供的缺省认证页面文件(注意认证页面文件需放在设备根目录下)

[H3C-portal-local-websvr-http]quit


5)   创建本地的认证账户信息

[H3C]local-user h3c class network      //创建账号为h3c

[H3C-luser-network-h3c]service-type portal   //服务类型配置为portal

[H3C-luser-network-h3c]password  simple h3c   //创建密码为h3c

[H3C-luser-network-h3c]authorization-attribute user-role level-15

[H3C-luser-network-h3c]quit


6)   配置放通DNSPortal策略

[H3C]portal free-rule 1 destination ip 114.114.114.114 32


2.   配置验证:portal页面正常弹出,输入用户名密码即可完成认证

配置关键点

如果在终端的网关交换机上配置portal的话,就在终端网关的三层接口上使能portal认证,并配置portal认证方式为直接认证方式即可:

[H3C-GigabitEthernet0/2]portal enable method direct  //使能portal认证方式为直接认证方式

 

如果是跨了三层,使用上联的防火墙作为portal认证点,就在防火墙的内联接口上使能portal的时候,配置portal认证方式为可跨三层的认证方式:

[Sysname-GigabitEthernet0/2] portal enable method layer3     //layer3:可跨三层认证方式(本案例中采用的该方式)

 

另外上述案例是使用缺省认证域的,缺省认证域的认证方案默认是本地的。现场设备如果没有配置其他域参数,可以直接使用上述案例进行快速配置。


如果现场配置使用的自定义其他认证域,后续注意修改配置:

(1)配置认证域

创建并进入名称为dm1ISP域。

[Device] domain dm1

配置ISP域使用的RADIUS方案rs1

[Device-isp-dm1] authentication portal local

[Device-isp-dm1] authorization portal local

[Device-isp-dm1] accounting portal local

[Device-isp-dm1] quit

(2)配置缺省域下的认证方案:

[Device] domain default enable dm1

如果不指定该域为缺省认证域,也可以在接口下指定portal认证使用的认证域:

[interface]portal domain dm1

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作